malwarewikiaorg_it-20200215-history
Melissa
Melissa è un macrovirus apparso per la prima volta nella primavera del 1999. Il virus ricevette molta attenzione mediatica e, come Michelangelo, divenne comune ma causò poco danno. Melissa iniziò a diffondersi esattamente un mese prima che CIH rilasciasse il suo payload, causando centinaia di milioni di dollari in danni in Asia Orientale. È uno dei primi virus ad ottenere lo status di "rock star". Comportamento Melissa arriva in una email, con soggetto "Important Message From email dell'account da cui è stato inviato il virus". Il corpo del messaggio è "Here is that document you asked for ... don't show anyone else ;-)" ("Ecco il documento che avevi chiesto ... non mostrarlo a nessun altro") L'allegato si chiama list.doc e contiene una lista di 80 siti pornografici con nomi utente e password. Quando un documento infetto è aperto, Melissa controlla se HKEY_CURRENT_USER.5CSoftware.5CMicrosoft.5COffice.5C ha una subdirectory chiamata "Melissa?" con valore impostato a "... by Kwyjibo". Se il valore è impostato, il virus non eseguirà la routine di invio mail; se, invece, il valore non è impostato, il virus si spedisce a cinquanta indirizzi nella rubrica dell'utente. Melissa infetta il template Normal.dot template, utilizzato di norma da tutti i documenti Word; ciò dà al virus l'abilità di infettare e spedire altri documenti oltre alla lista di siti porno, potenzialmente mettendo a rischio informazioni personali. Gli utenti possono anche diffondere il virus inconsciamente quando altri documenti vengono infettati e li spediscono ad un altro computer. Se qualsiasi documento è aperto o se ne crea uno nuovo, esso verrà infettato. Melissa ha un altro payload that triggers itself once an hour and chooses the minute of the payload's delivery by the day (per esempio, se il giorno è il 19 aprile, il payload si attivera ad ogni 19° minuto di ogni ora per quel giorno). Se un documento è aperto o chiuso in quel minuto, Melissa inserirà questo testo nel documento. Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here. Traduzione: Ventidue punti, più per tre di punteggio, più cinquanta per aver usato tutte le mie lettere. Il gioco è fatto. Arrivederci. Questa è una citazione all'episodio dei Simpson ''Bart, il genio''. Varianti Melissa.W (Prilissa) Il virus arriva come file allegato. Il corpo dell'email dice "This document is very Important and you've GOT to read this!!!". Quando Prilissa si attiva, esso mostra il messaggio: "Vine...Vide...Vice...Moslem Power Never End...Your Computer Have Just Been Terminated By -= CyberNET =- Virus!!" -". I documenti dell'utente saranno coperti di quadrati colorati a caso. Prilissa poi sovrascrive il file AUTOEXEC.BAT per formattare l'hard drive. In realtà, questo messaggio proviene da Cybernet, un altro macrovirus. Questa variante potrebbe aver preso parte del codice di un precedente macrovirus (Pri) ed essere un ibrido di Melissa e il macro già menzionato. Effetti Nonostante il virus non avesse payload intenzionalmente maliziosi, esso mandò i server email in DoS; i "danni" erano più che altro lavoro perso per via delle chiusure dei server da parte delle compagnie. Molti impegati nell'industria informatica hanno detto che la situazione poteva essere ben peggiore, perché il virus non faceva altro che spedirsi via email. Kwyjibo dichiarò in tribunale che egli non creò il virus per causare danni intenzionali, credendo che qualsiasi danno fosse accidentale o minimo. Questi sostenne che il virus era perfino fatto apposta per non causare danni ai computer. Si dice che il virus abbia causato $80 milioni in danni in Nord America e circa $1.1 miliardi in tutto il mondo. Alcune stime sostengono che almeno 100,000 sono stati infettati e 300 organizzazioni hanno accusato delle infezioni. Il produttore di videogiochi GT Interactive spedì accidentalmente il virus in un comunicato stampa. La compagnia disse che Melissa non fece loro alcun danno, ma causò molto imbarazzo. CERT sostiene che Melissa è statpo segnalato in paesi lontani come Canada, Paesi Bassi, Nuova Zelanda, Qatar, Singapore, Svezia, e il Regno Unito. In oltre, la stessa agenzia afferma che 233 organizzazioni e 81,285 computer hanno avuto infezioni da Melissa e che un sito segnalò la ricezione di 32,000 messaggi email contenenti Melissa sui suoi sistemi in 45 minuti. Simile all'isteria di Michelangelo, la gente iniziò a comprare software antivirus e scansionare i loro computer, per poi trovare virus molto più vecchi che non ricevettero così tanta attenzione mediatica. Origin Melissa venne programmato e rilasciato da Kwyjibo (David L. Smith) ad Aberdeen, New Jersey, Stati Uniti e postato sul newsgroup alt.sex usando un account craccato di America Online. Il nome deriva da una spogliarellista che Kwyjibo incontrò in Florida. Per breve tempo, si credette che il virus fosse originario dell'Europa. Kwyjibo si dichiarò colpevole il 12 settembre 1999 e fu condannato a venti mesi di carcere, tre anni di libertà condizionata una multa di $5000 e 100 ore di servizi socialmente utili nel 2002. La pena massima a quei tempi era cinque anni di prigione e una multa di $250.000, ma il giudice prese in considerazione il fatto che Kwyjibo collaborò con le autorità federali e statali. Egli fu condannato ad altri 10 anni di prigione e una multa di $150.000 su un conto di furto informatico di secondo grado. La somma di tutte le sue condanne al carcere poteva raggiungere i 40 anni. In cambio della riduzione della pena a 20 mesi, Kwyjibo iniziò a lavorare con la FBI per aiutare l'ufficio a trovare creatori di virus e worm; cominciò a lavorare 18 ore a settimana, poi 40, al punto che la FBI iniziò a pagargli l'affitto, l'assicurazione e i servizi, in totale quasi $12.000. Lavorando per l'FBI, Kwyjibo fu fondamentale nel trovare e catturare Jan de Wit, creatore di OnTheFly, e Simon Vallor, creatore di Gokar. Altri fatti Il testo di uno dei payload di Melissa, così come il nome Kwyjibo, sono tratti da un episodio dei Simpson, Bart, il genio. Bart (giocando a Scarabeo in famiglia): K-W-Y-J-I-B-O... Kwyjibo. Ventidue punti, più per tre di punteggio, più cinquanta per aver usato tutte le mie lettere. Il gioco è fatto. Arrivederci, grazie! Homer: Un momento, piccolo imbroglione! Tu non vai da nessuna parte fino a quando non mi spieghi che cos'è un Kwyjibo. Bart (guardando Homer): Il Kwyjibo? È uno... stupido scimmione pelato del Nord America senza mento. Marge: Con un pessimo carattere! Homer (saltando addosso a Bart): Te lo faccio vedere io lo scimmione calvo!! Bart: È scappato il Kwyjibo! Sources http://m.youtube.com/watch?v=iBGIUd9niXc The Melissa Virus Website CERT. Advisory, "CA-1999-04 Melissa Macro Virus" 1999.03.27-31 Raul K. Elnitiarta. Symantec.com, W97M.Melissa.A Richard Pethia (Testimony Before the Subcommittee on Technology, Committee on Science, U.S. House of Representatives). CERT, The Melissa Virus: Inoculating Our Information Technology from Emerging Threats 1999.04.15 Stephen Shankland. CNET News, "Feds Issue Warning as Email Virus Spreads". 1999.03.29 -. -, "Melissa Virus Originator Bewildered" 1999.03.30 Robert Lemos. ZDNet News, "What Will Happen in Melissa's Wake?". 1999.04.04 Craig Fosnock. East Carolina University, Computer Worms: Past, Present, and Future Nerds 2.0.1, "A Virus Named Melissa". 1999.03.29 US Department of Justice Press Release, "Creator of Melissa Computer Virus Sentenced to 20 Months in Federal Prison". 2002.05.01 Raymond G. Kammer. US Department of Commerce, Before the House Science Subcommittee on Technology. 1999.04.15 Martha Mendoza. Associated Press, Hacker goes undercover for the FBI. 2003.09.23 John Borland. CNET News, "Christmas Virus Could Format Hard Drives". 1999.11.19 Matthew W. Beale. E-Commerce Times "One Year Ago: Christmas Day Virus Warning Issued" 1999.11.22, 2000.11.20 EmailAbuse.org, "Prilissa". Video en:Melissa Categoria:Macro Categoria:MSWord